Método seguro para permissões de dispositivos RAID para armazenamento de rede

1

Eu gerencio uma rede pequena que suporta uma dúzia de funcionários. Temos cerca de 8 TB de dados que residem em vários dispositivos NAS. Eu criei um servidor de arquivos RAID de 20 TB (com uma única partição XFS) recentemente e estamos migrando para isso.

Os dispositivos atuais são heterogêneos em suas permissões: alguns são discos rígidos internos montados no Windows 7; alguns é um Drobo ligado por USB ao Ubuntu; e alguns outros são Snap Servers, que executam sua própria versão do UNIX.

Infelizmente, as estações de trabalho da rede também são heterogêneas. Nós temos Linux, Mac OS e Windows XP / Vista / 7/8. Isso causou um pouco de confusão entre os usuários em termos de permissões. Como resultado, basicamente deixei o armazenamento muito solto, contra o meu melhor julgamento.

Com este novo sistema, o array é montado em um sistema Linux e todo o armazenamento será neste dispositivo. Assim, tenho a oportunidade de configurá-lo corretamente na primeira vez.

É aqui que entra minha pergunta. Qual é a melhor maneira de fazer isso? Devo criar usuários para todos (em um grupo) na rede e forçá-los a se conectarem com essas credenciais? Devo definir as permissões para 777 e mantê-las abertas? Ou existe uma maneira melhor de alcançar algum nível de segurança, mas também facilitar para que meus usuários tenham acesso de leitura / gravação ao compartilhamento?

EDITAR

Do comentário, gostaria de atualizar para maior clareza. Estou compartilhando com o Samba. E o tipo de problema que estou vendo é a propriedade de arquivos e pastas.

Por exemplo, se eu criar usuários (em um grupo) no servidor que correspondam às credenciais de cada usuário em suas estações de trabalho, isso funciona bem para permissões, por exemplo, todos podem acessar e editar arquivos, mas a propriedade é diferente para arquivos / pastas que cada usuário criou. Isso causa um problema, pois o compartilhamento deve ser gravável por todos os usuários, e cada usuário recebe o OK para excluir as pastas a seu critério.

    
por nicorellius 03.12.2013 / 21:30

1 resposta

1

Qual é o aspecto dos acls, o que você não gosta? Se você usar todos os seus recursos (incl. Acls padrão em diretórios), não consigo imaginar uma situação que não seja capaz de resolver. Embora até mesmo sua complexidade torne isso um pouco difícil de aprender e automatizar. O Samba pode até converter as permissões de objeto de domínio do Windows em acls. Seu problema sobre as propriedades do arquivo pode ser tratado por setgids de grupo nos diretórios. Se o diretório tiver um setgid, os arquivos recém-criados nele serão criados com o grupo do diretório e não com o grupo do criador.

chmod g + s / o / shared / dir

    
por 07.12.2013 / 13:45